{"id":1771,"date":"2024-03-27T16:32:33","date_gmt":"2024-03-27T15:32:33","guid":{"rendered":"https:\/\/www.manutronix.com\/?page_id=1771"},"modified":"2024-04-08T16:53:10","modified_gmt":"2024-04-08T14:53:10","slug":"information-security-policy","status":"publish","type":"page","link":"https:\/\/www.manutronix.com\/index.php\/information-security-policy\/","title":{"rendered":"Information Security Policy"},"content":{"rendered":"<div class=\"wpb-content-wrapper\"><p>[vc_row css=&#8221;.vc_custom_1712587926422{margin-top: 20px !important;}&#8221; conditional_render=&#8221;%5B%7B%22value_role%22%3A%22administrator%22%7D%5D&#8221;][vc_column][vc_column_text]<\/p>\n<h1>Information Security Policy<\/h1>\n<h2>1 Introduzione<\/h2>\n<p>Shorr Kan Srl (di seguito, per brevit\u00e0, \u201cSK\u201d) riconosce la necessit\u00e0 di garantire che la propria attivit\u00e0 aziendale venga erogata senza interruzioni e garantendo il massimo livello di tutela delle information asset che ci vengono affidate, per contratto o per scelta interna.<\/p>\n<p>Per ottenere questo risultato SK ha implementato un Sistema di Gestione della Sicurezza delle Informazioni \u2013 Information Security Management System (di seguito, per brevit\u00e0, chiamato \u201cISMS\u201d) conforme allo standard internazionale per la sicurezza delle informazioni ISO\/IEC 27001:2022 e ai codici di condotta ISO\/IEC 27017:2015 e ISO\/IEC\/27018:2019.<\/p>\n<p>Questo standard definisce i requisiti per un ISMS basato sulle migliori best practice internazionali.<\/p>\n<h3>1.1 Principi<\/h3>\n<p>La Information Security Policy di SK si ispira ai seguenti principi:<\/p>\n<ul>\n<li>Garantire all\u2019organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro criticit\u00e0, al fine di agevolare l\u2019implementazione degli adeguati livelli di protezione;<\/li>\n<li>Garantire l\u2019integrit\u00e0, la confidenzialit\u00e0 e disponibilit\u00e0 delle informazioni gestite;<\/li>\n<li>Garantire l\u2019accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari;<\/li>\n<li>Garantire che l\u2019organizzazione e le terze parti collaborino al trattamento delle informazioni adottando policy volte al rispetto di adeguati livelli di sicurezza;<\/li>\n<li>Garantire che l\u2019organizzazione e le terze parti che collaborano al trattamento delle informazioni, abbiano piena consapevolezza delle problematiche relative alla security anche per i servizi erogati al mercato;<\/li>\n<li>Garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l\u2019impatto sul business;<\/li>\n<li>Garantire che l\u2019accesso alle sedi ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;<\/li>\n<li>Garantire la conformit\u00e0 con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;<br \/>\nGarantire la rilevazione di eventi anomali, incidenti e vulnerabilit\u00e0 dei sistemi informativi al fine di rispettare la sicurezza e la disponibilit\u00e0 dei servizi e delle informazioni;<\/li>\n<li>Garantire la business continuity aziendale e il disaster recovery, attraverso l\u2019applicazione di procedure di sicurezza stabilite a priori.<\/li>\n<\/ul>\n<h3>1.2 Benefici<\/h3>\n<p>L\u2019implementazione e il mantenimento di Proteo ha molti vantaggi per i Clienti di SK, per SK stessa ei suoi dipendenti e collaboratori. Tra questi vi sono:<\/p>\n<p>Maggiori garanzie sull\u2019erogazione dei nostri servizi ai Clienti;<\/p>\n<p>Il mantenimento, e la crescita, del valore dell\u2019organizzazione SK;<br \/>\nLa conformit\u00e0 ai requisiti legali del nostro Paese e agli eventuali regolamenti o procedure imposte dai nostri Clienti.<\/p>\n<p>SK ha deciso di adottare e mantenere la certificazione completa secondo lo standard ISO\/IEC 27001:2022 e ai codici di condotta ISO\/IEC 27017:2015 e ISO\/IEC\/27018:2019.<\/p>\n<p>Questo implica che l\u2019effettiva adozione da parte nostra delle best practice di gestione della sicurezza delle informazioni sia convalidata da una terza parte indipendente, ovvero un Organismo di Certificazione Registrato.<\/p>\n<h2>2 Information security policy<\/h2>\n<h3>2.1 Requisiti di Information Security<\/h3>\n<p>E\u2019 nostra intenzione identificare, mantenere, comunicare e rivedere periodicamente i requisiti della Sicurezza delle Informazioni che intendiamo adottare, affinch\u00e9 tutte le attivit\u00e0 eseguire nel contesto del nostro ISMS siano focalizzare nel mantenere questi requisiti.<\/p>\n<p>Tra questi requisiti abbiamo identificato:<\/p>\n<ol>\n<li>Oggetto<\/li>\n<li>Obiettivi<\/li>\n<li>Policy<\/li>\n<li>Istruzioni e procedure operative<\/li>\n<li>Controlli<\/li>\n<li>risorse umane e materiali<\/li>\n<li>strumenti e metodi.<\/li>\n<\/ol>\n<p>Il driver principale che abbiamo adottato per identificare questi requisiti \u00e8 il fabbisogno operativo aziendale, che in ultima analisi consiste nel garantire l\u2019erogazione dei servizi ai nostri clienti.<\/p>\n<p>All\u2019interno di questa categoria di attenzione riteniamo di aver considerato, tra gli altri fabbisogni:<\/p>\n<ul>\n<li>Le evoluzioni significative del business;<\/li>\n<li>Le minacce a cui siamo esposti, le relative vulnerabilit\u00e0 conseguenti e i potenziali rischi;<\/li>\n<li>Eventuali significativi incidenti di sicurezza;<\/li>\n<li>L\u2019evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.<\/li>\n<\/ul>\n<h3>2.2 Ciclo di revisione<\/h3>\n<p>Gli obiettivi e le risorse da dedicare all\u2019ISMS saranno rivisti annualmente, e tale processo sar\u00e0 integrato nelle procedure di redazione annuale del bilancio aziendale, integrando nella Nota Integrativa un apposito paragrafo dedicato all\u2019ISMS.<\/p>\n<p>In accordo con la norma ISO\/IEC 27001, adotteremo i Controlli dell\u2019Allegato A che SK riterr\u00e0 opportuno adottare sulla base dei nostri requisiti. Questi controlli saranno riesaminati regolarmente alla luce dei risultati delle valutazioni dei rischi e in linea con i piani di trattamento dei rischi che saranno adottati. Per i dettagli su quali controlli dell&#8217;allegato A sono stati implementati e quali sono stati esclusi si rimanda allo Statement of Applicability (di seguito \u201cSOA\u201d).<\/p>\n<h3>2.3 Miglioramento continuo<\/h3>\n<p>Per noi di SK il cosiddetto \u201cmiglioramento continuo\u201d consiste nel:<\/p>\n<ul>\n<li>Migliorare continuamente l&#8217;efficacia dell&#8217;ISMS;<\/li>\n<li>Migliorare i processi aziendali attuali per allinearli alle best practice come definito nella ISO\/IEC 27001e i relativi standard;<\/li>\n<li>Ottenere la certificazione ISO\/IEC 27001 e mantenerla su base periodica;<\/li>\n<li>Aumentare il livello di proattivit\u00e0 (e la percezione della proattivit\u00e0 da parte degli stakeholder) in merito alla sicurezza delle informazioni;<\/li>\n<li>Rendere i processi e i controlli di sicurezza delle informazioni pi\u00f9 misurabili al fine di fornire una solida base per decisioni pi\u00f9 consapevoli e informate;<\/li>\n<li>Rivedere le metriche pi\u00f9 importanti su base annuale per valutare se sia opportuno modificarle;<\/li>\n<li>Ascoltare e ottenere idee per il miglioramento di Proteo tramite riunioni regolari e altre forme di comunicazione con le parti interessate;<\/li>\n<li>Esaminare le idee per il miglioramento durante le riunioni di gestione periodiche al fine di stabilire le priorit\u00e0 e valutare tempi e benefici di implementazione.<\/li>\n<\/ul>\n<h3>2.4\u00a0\u00a0\u00a0 Aree di interesse e documenti di supporto<\/h3>\n<p>SK definisce le politiche di condotta in merito all\u2019ISMS per un&#8217;ampia variet\u00e0 di aree relative alla sicurezza delle informazioni. Queste politiche di condotta sono descritte in dettaglio in una serie completa di documenti (le Policy) che accompagna questa politica generale sulla sicurezza delle informazioni.<\/p>\n<p>Abbiamo definito delle Policy di sicurezza per una vasto numero di aree relative alla sicurezza delle informazioni che sono rilevanti ai fini del nostro ISMS.<\/p>\n<p>Queste Policy collegate sono allegate alla presente policy primaria di sicurezza delle informazioni.<\/p>\n<p>Ciascuna di queste Policy \u00e8 definita e concordata con una o pi\u00f9 persone con competenza nell&#8217;area di pertinenza e, una volta approvata, \u00e8 comunicata alle risorse interessare, che possono essere sia interne che esterne all&#8217;organizzazione SK.<\/p>\n<h3>2.5\u00a0\u00a0\u00a0 Estensione ai Servizi Cloud<\/h3>\n<p>SK ha stabilito standard minimi di sicurezza relativi al proprio utilizzo dei servizi Cloud e all\u2019utilizzo da parte dei nostri Clienti dei servizi cloud erogati da SK.<\/p>\n<p>Consideriamo i servizi Cloud che utilizziamo come estensioni della nostra infrastruttura che richiedono un livello di sicurezza applicato alle informazioni uguale o maggiore, a seconda della natura del servizio e delle risorse custodite o elaborate al suo interno.<\/p>\n<p>SK richiede che la riservatezza, l&#8217;integrit\u00e0 e la disponibilit\u00e0 delle risorse all&#8217;interno dei servizi Cloud siano protette e preservate allo stesso livello delle risorse all&#8217;interno dei propri sistemi. I servizi cloud utilizzati da SK rientrano nell&#8217;ambito del sistema di gestione della sicurezza delle informazioni (ISMS\/PROTEO) di SK e sono soggetti alla valutazione del rischio e all&#8217;applicazione di adeguati controlli tecnici e organizzativi in linea con le procedure definite nell&#8217;ISMS.<\/p>\n<p>I ruoli e le responsabilit\u00e0 per la gestione dell&#8217;ambiente e i servizi cloud sono chiaramente definiti all\u2019interno della nostra organizzazione e sono informazioni facenti parte della documentazione contrattuale con i Cliente.<\/p>\n<p>Abbiamo stabilito e manteniamo una chiara divisione delle responsabilit\u00e0 tra SK e i nostri eventuali sub-fornitori, compresi i sub-fornitori di servizi cloud.<\/p>\n<p>In particolare, i controlli applicati ai servizi Cloud all\u2019interno dell\u2019ISMS di SK prendono in considerazione:<\/p>\n<ul>\n<li>Le informazioni archiviate nel servizio Cloud e il rischio di potenziale accesso e\/o gestione da parte del fornitore dell\u2019infrastruttura Cloud;<\/li>\n<li>Gli asset mantenuti nel servizio Cloud;<\/li>\n<li>I processi ed i programmi utilizzati all&#8217;interno del servizio Cloud;<\/li>\n<li>I Rischi connessi ai servizi multi-tenant e\/o virtualizzati;<\/li>\n<li>Gli utenti del servizio Cloud;<\/li>\n<li>Gli amministratori del servizio Cloud e gli altri soggetti con accesso privilegiato;<\/li>\n<li>I ruoli e le responsabilit\u00e0 appropriati in materia di informazioni, sicurezza e gestione della privacy;<\/li>\n<li>Le posizioni geografiche e i Paesi in cui il servizio Cloud pu\u00f2 archiviare o elaborare i dati, indipendentemente dalla durata di tale archiviazione o elaborazione.<\/li>\n<\/ul>\n<p>SK richiede che i servizi Cloud che utilizza rispettino tutti gli obblighi legislativi, regolamentari e contrattuali applicabili, compresi quelli relativi alla protezione delle informazioni di identificazione personale (PII) e ai diritti dei titolari PII. Questi includono gli obblighi a carico di SK come individuati nei rilevanti articoli della normativa sulla privacy applicabile, il GDPR (Regolamento UE 2016\/679).<\/p>\n<h3>2.6 A chi si applica questa Policy<\/h3>\n<p>Questa Information Security Policy \u2013 cos\u00ec come tutte le policy di area dedicata &#8211; si applica a tutti i sistemi, le persone e i processi che utilizzano sistemi o risorse informative dell&#8217;organizzazione SK, inclusi i membri del consiglio di ammirazione, i manager, i dipendenti, i collaboratori, i fornitori e altre terze parti che hanno accesso ai sistemi o risorse di SK.<\/p>\n<p>Tutte queste policy devono essere adottate e rispettate da tutti i dipendenti, collaboratori e fornitori di SK.<\/p>\n<p>***<\/p>\n<p>Questo documento \u00e8 un estratto della Information Security Policy di SK. Per coloro che ne avessero interesse, la versione completa \u00e8 disponibile dietro richiesta.[\/vc_column_text][\/vc_column][\/vc_row]<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>[vc_row css=&#8221;.vc_custom_1712587926422{margin-top: 20px !important;}&#8221; conditional_render=&#8221;%5B%7B%22value_role%22%3A%22administrator%22%7D%5D&#8221;][vc_column][vc_column_text] Information Security Policy 1 Introduzione Shorr Kan Srl (di seguito, per brevit\u00e0, \u201cSK\u201d) riconosce la necessit\u00e0 di garantire che la propria attivit\u00e0 aziendale venga erogata senza interruzioni e garantendo il massimo livello di tutela delle information asset che ci vengono affidate, per contratto o per scelta interna. Per ottenere questo [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1771","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/pages\/1771","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/comments?post=1771"}],"version-history":[{"count":2,"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/pages\/1771\/revisions"}],"predecessor-version":[{"id":1791,"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/pages\/1771\/revisions\/1791"}],"wp:attachment":[{"href":"https:\/\/www.manutronix.com\/index.php\/wp-json\/wp\/v2\/media?parent=1771"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}